Forum » Informacijska varnost » izsiljevalski virus Locky
izsiljevalski virus Locky
zero_max ::
Brez zamere, še vedno NISI NAPISAL, kakšno zvezo ima to pisanje z naslovom teme?
Govorimo o makrih (mimogrede, macros so makri, ne makroji - makro je zvodnik), ki niso škodljivi ali o makrih, ki so ti dol potegnili Lockyja?
In še: NOD32 je podn od antivirusa že desetletje, Bitdefender, na primer, naj bi Lockyja v živo ustavil.
Ker nisem računalničar/programer, nisem vedel ali obstaja kakšna povezava med Lockyjem in mojim primerom z varnostnim opozorilom pri odpiranju excel datoteke. Zato sem to zgodbico omenil na tej temi.
Zgodovina sprememb…
- spremenilo: zero_max ()
SeMiNeSanja ::
@zero_max - včasih se splača tudi prebrati, kaj ti piše v nekem opozorilnem okenčku...
Predvidevam, da se je šlo za čisto banalno opozorilo, ker je excel zaznal, da ima v datoteki eksterne povezave (URL-ja) in te je zato opozoril na MOŽNO nevarnost.
Ne gre se za dejansko analizo povezav, ampak zgolj za obstoj teh. Lahko so popolnoma nedolžne (ki si jih sam dodal...) ali pa zlonamerne, če si xls dobil od neke barabe in ti je noter podtaknil kakšen url, da boš klikal po njemu in si navlekel kakšno nesnago.
Najbolje, da ponoviš vajo z prazno xls datoteko, vanjo vpišeš neke domišlijske (neobstoječe) URL-je (npr. http://soncek123.si/tralala/hopsasa.htm..., shraniš in ponovno odpreš.
Predvidevam, da se je šlo za čisto banalno opozorilo, ker je excel zaznal, da ima v datoteki eksterne povezave (URL-ja) in te je zato opozoril na MOŽNO nevarnost.
Ne gre se za dejansko analizo povezav, ampak zgolj za obstoj teh. Lahko so popolnoma nedolžne (ki si jih sam dodal...) ali pa zlonamerne, če si xls dobil od neke barabe in ti je noter podtaknil kakšen url, da boš klikal po njemu in si navlekel kakšno nesnago.
Najbolje, da ponoviš vajo z prazno xls datoteko, vanjo vpišeš neke domišlijske (neobstoječe) URL-je (npr. http://soncek123.si/tralala/hopsasa.htm..., shraniš in ponovno odpreš.
zero_max ::
včasih se splača tudi prebrati, kaj ti piše v nekem opozorilnem okenčku...
Bilo je pred cca. 2 meseci. Prebral sem vse kar je pisalo v tistem okenčku, vendar nisem sploh vedel, da lahko excel tako komplicira zadeve in nisem dajal veliko pomena zadevi, kaj šele, da bi razmišljal o kakšnem izsiljevalskem virusu. Bom poskusil tudi ta tvoj eksperiment. Hvala.
Bilo je pred cca. 2 meseci. Prebral sem vse kar je pisalo v tistem okenčku, vendar nisem sploh vedel, da lahko excel tako komplicira zadeve in nisem dajal veliko pomena zadevi, kaj šele, da bi razmišljal o kakšnem izsiljevalskem virusu. Bom poskusil tudi ta tvoj eksperiment. Hvala.
krneki0001 ::
SeMiNeSanja je izjavil:
SeMiNeSanja je izjavil:
Locky se ne da.... še bolj pasji postaja. http://www.securityweek.com/locky-ranso...
Je kje nkakšen primer, kako dejansko izgleda okužba oz. kaj je treba pognati, da se z njim okužiš?
Klasična varianta je bila že neštetokrat obdelana: preko maila dobiš *.doc ali *.xls datoteko z makroji. Ko jo odpreš in dovoliš makroje, se zadeva aktivira.
Ta novejša varianta pa ne rabi nobenega posebnega posega s strani uporabnika - razen da nevede zaideš na kompromitirano spletno stran. Vse ostalo se potem 'zgodi' v ozadju. http://www.securityweek.com/nuclear-exp... na grobo opisuje, kako deluje nuclear exploit kit. V principu obiščeš kompromitirano spletno stran (lahko čisto legitimna znana stran, kjer vrtijo reklame iz nepreverjenih virov). Kos kode na tej strani (v reklami?) te preusmeri nekam, kjer se preveri ranljivosti, katere podpira tvoj brskalnik (update flash!!!), z njihovo pomočjo na tvoj računalnik prenese tor.exe, ta pa potem potegne tisto dejansko škodljivo kodo... Vse brez uporabnikove interakcije.
Kako to potem deluje, če imaš UAC vklopljen in zahtevaš potrditev uporabnika, da se "tor.exe" lahko zažene?
krneki0001 ::
A ni tako, da ti lahko nastaviš, da mora vsak exe program biti potrjen z uporabnikove strain?
crniangeo ::
krneki0001 je izjavil:
A ni tako, da ti lahko nastaviš, da mora vsak exe program biti potrjen z uporabnikove strain?
mislim, da je pogojeno s tem , kako imas nastavljeno internetno zono. Če je highest level, potem te bo za vsak downloadan file spraseval ce dovolis :)
Convictions are more dangerous foes of truth than lies.
krneki0001 ::
Pa saj to je poanta. Če gre za službene računalnike, uslužbenci itak nimajo kaj za downloadad. Tako da je vseeno, če za vsak, ampak res vsak file vpraša, ali ga dovoli izvesti.
crniangeo ::
glede tega se midva strinjava. Ampak, na žalost je to le teorija, ki je tudi na papirju sprejemljiva. Zatakne se le, ko je potrebno uvesti novo pravilo za vse zaposlene. No tukaj pa pride do nesporazuma med vodstvom in IT oddelkom. Takrat pa folk noče stisniti tistega famoznega podpisa s katerim bi deloma prevzeli odgovornost. No vsaj tako je v večini podjetij, kjer se vodstvo menjava na vsake 3-4 leta.
Convictions are more dangerous foes of truth than lies.
darkolord ::
krneki0001 je izjavil:
A ni tako, da ti lahko nastaviš, da mora vsak exe program biti potrjen z uporabnikove strain?Ne, razen če uporabiš software restriction policy.
Ampak tudi v tem primeru je uporabnik svojemu browserju že dovolil izvajanje, s tem pa tudi flashu in s tem tudi toru, ki ga ta flash stanka in požene ...
SeMiNeSanja ::
Spet nova nadloga na vidiku?
Microsoft has discovered a new variant of ransomware that replicates itself to external drives, flash drives, and networked drives.
Called ZCryptor, the new ransomware variant is at first similar to other strains, spreading via malicious attachments and malicious code on the Internet. After the initial infection, however, ZCryptor immediately reproduces itself and then "drops an autorun.inf in removable drives, a 'zycrypt.lnk' in the start-up folder, along with a copy of itself as {Drive}:\system.exe and %APPDATA%\zcrypt.exe. Lastly, it changes the file attributes to hide itself from the user in the file explorer."
According to Neowin, ZCryptor then asks for a ransom of 1.2 bitcoins (currently valued at $638.40). If a user fails to make the payment in time, the ransom is raised to 5 bitcoins. In its report, Microsoft says that all infected files are given a .zcrypt file extension. ZCrypt is known to target more than 80 types of common files.
For those who are targeted, Microsoft advises restoring from backup. Researchers have not yet found a way to decrypt files without paying a ransom.
SeMiNeSanja ::
Baje, da sta Dridex in Locky 'down', vsaj začasno.
Nekateri viri pravijo, da je nek whitehat hacker sesul Necurs botnet, ki je prvenstveno zaslužen za širjenje teh nadlog, drugi ugibajo, da je to posledica velike akcije ruskih kriminalistov, ki so polovili 150 članov cyber-kriminalnih združb.
Kakorkoli že, od 1. julija dalje je število novih okužb z Locki in Dridex-om upadlo na ničlo, kar je več kot dobra novica.
Žal je 'in the wild' še vrsta drugih izsiljevalskih škodljivcev, upamo lahko samo, da ne bo že jutri nad nas prišla kakšna še hujša nadloga.
Nekateri viri pravijo, da je nek whitehat hacker sesul Necurs botnet, ki je prvenstveno zaslužen za širjenje teh nadlog, drugi ugibajo, da je to posledica velike akcije ruskih kriminalistov, ki so polovili 150 članov cyber-kriminalnih združb.
Kakorkoli že, od 1. julija dalje je število novih okužb z Locki in Dridex-om upadlo na ničlo, kar je več kot dobra novica.
Žal je 'in the wild' še vrsta drugih izsiljevalskih škodljivcev, upamo lahko samo, da ne bo že jutri nad nas prišla kakšna še hujša nadloga.
SeMiNeSanja ::
Trenutno je samo premor pred viharjem :
https://www.fireeye.com/blog/threat-res...
Linkal napačni članek?
Ta v linku govori o tem, da je Angler zdaj sposoben, da ubeži EMET-u. Grda reč. Ampak prav veliko ljudi pa tudi spet ne uporablja EMET.
čuhalev ::
Kako te moderne rešitev tipa APT obravnavajo realtime HTTPS promet? Dobro, daš mu certifikat, da lahko prebere. Ampak če je binary velik, potem kaj ... shrani najprej k sebi in ga šele nato ponudi uporabniku?
SeMiNeSanja ::
Kako te moderne rešitev tipa APT obravnavajo realtime HTTPS promet? Dobro, daš mu certifikat, da lahko prebere. Ampak če je binary velik, potem kaj ... shrani najprej k sebi in ga šele nato ponudi uporabniku?
To je pa odvisno od rešitve do rešitve. Že kaj kdo razume pod pojmom APT zaščita, se razlikuje, še bolj pa potem, kako delajo AV skeniranje ali kakšno Sandbox analizo (če jo sploh).
Že če samo AV skeniranje pogledaš, imaš v osnovi dva različna pristopa - streaming in buffered. Eden je hitrejši, drugi bolj temeljit. V teoriji. V praksi potem pride še v igro, kakšen nabor signatur se sploh uporablja - pri nekaterih rešitvah je ta slabši kot 'skromen'. Ob slabih signaturah, pa potem ne pomaga niti bolj temeljit buffered pristop. Potem je še vprašanje, kakšen AV Engine se sploh uporablja, kako dobra je njegova heuristika, saj se danes škodljivo kodo ujame predvsem s pomočjo heuristike.
V praksi se običajno izkaže, da nosijo malware payload predvsem razmeroma majhne datoteke, tja do 1MB velikosti. Te pa brez težav 'zmelje' tudi vsaka rešitev, ki uporablja buffering metodo za AV skeniranje.
Ko se gre na Sandbox analize, pa so metode še bitveno bolj raznolike. Eni proizvajalci dejansko samo generirajo AV signature na osnovi rezultatov Sandbox analiz in te v bistvu skušajo ščititi preko AV analize. Slabost tega pristopa je ta, da si ranljiv, dokler ne pride naokoli posodobljena AV signatura.
Drugi spet pri vsaki izvedeni analizi dodajo zapis v bazo v 'oblaku'. Ker se najprej preverja, če je bila določena datoteka (glede na njen hash) že kdaj analizirana in kakšen je bil rezultat tega preverjanja, imamo lahko zelo hitre rezultate, ne da bi se kaj dosti rabili ukvarjati s samo datoteko (razen da se generira njeno hash vrednost) - če je bila ta dadoteka že kdaj videna oz. analizirana. V nasprotnem primeru jo je treba poslati v lokalno ali oddaljeno Sandbox analizo.
Nerealno je pričakovati, da bo kdo želel čakati, da pridejo rezultati te analize. Če gledaš stran v brskalniku, morajo biti datoteke dostavljene takoj, ne pa čez 10 min ali bog nedaj dve uri, ko si že pozabil, kaj si sploh brskal.
Zato ti sistemi delujejo v principu bolj kot naknadno opozorilo "Admin, tvoj uporabnik Janez je a strani AAA prenesel datoteko BBB, pri kateri je analiza pokazala potencialno nevarnost...". Tako da potem preide stvar na Admina, da čim prej ukrepa in preveri kaj je dejansko na stvari.
Ker v takem primeru dejansko lahko že pride do okužbe sistema še predenj admin lahko poseže vmes, je še toliko bolj pomembno imeti AV proizvode tudi na računalnikih - in to po možnosti ne iste, kot jih imamo na požarni pregradi. Ta si je namreč datoteko že enkrat ogledal in jo ni prepoznal kot potencialno nevarno.
WatchGuard npr. uporablja kombiniran pristop več različnih varnostnih servisov. - Pri HTTP(s) se najprej preverja, če je vrsta datoteka (content type, extension) sploh dovoljeno prenašati (npr. vsem navadnim uporabnikom prepovemo *.exe in podobno).
- Nato se preveri sam URL, če je na blacklisti pri Websense, oz. spada v dovoljene kategorije glede na svojo klasifikacijo.
- na naslednjem koraku se preveri URL in IP naslov v lastnem RED reputacijskem servisu, ki se napaja iz skeniranj na požarnih pregradah in različnih blacklist (tudi posebna lista podjetja Kasperski, ki pokriva prevsem botnet omrežja).
- šele tu se potem datoteka dejansko prenese in jo podvrže AV skeniranju
- v primeru, da AV skeniranje ne pokaže grožnje, se izvede še preverba hasha v Lastline bazi
Do sem je torej na prenos datoteke vplivalo 5 različnih, med seboj neodvisnih filtrirnih mehanizmov in se njen prenos lahko na vsakem koraku zaustavil, če bi se jo zaznalo kot potencialno grožnjo.
Če preverba hasha v Lastline bazi rezultira v "datoteko ne poznamo, daj pošlji nam jo, da si jo pogledamo bolj podrobno", se jo sprosti uporabniku, saj ta nikakor nebi bil pripravljen čakati 10-20 minut, da se opravi analiza, medtem ko on datoteko potrebuje takoj zdaj.
Pri elektronski pošti seveda odpade preverjanje URL-jev, zato pa nastopi antispam filter. Razlika proti http-ju je tudi v tem, da se datoteko dostavi najprej poštnemu strežniku, od koder jo uporabnik običajno prevzame z časovnim zamikom. Tako obstaja še ena dodatna možnost, da admin datoteko odstrani (po prejemu obvestila iz Sandbox analize, da se gre za potencialno nevarno datoteko), še predenj ta dejansko doseže uporabnika.
Če vse plasti filtriranja pravilno nastavimo, bomo večino najbolj nevarnih datotek zaustavili že na samem začetku, saj jih že v osnovi ne bomo dovolili prenašati, pa če so škodljive ali ne.
Druge rešitve / proizvajalci imajo vsak svoj pristop. Enkrat ti zapakirajo postopek v kakšen zveneč marketinški pojem / slogan, ki pa na koncu ne redko zgolj prikriva kakšno pomanjkljivost v samem pristopu do problematike.
čuhalev ::
Sedaj mi je jasno, gre skoraj realtime, le obvestilo zamudi. A headerji (npr PE) se tudi gledajo?
SeMiNeSanja ::
Sedaj mi je jasno, gre skoraj realtime, le obvestilo zamudi. A headerji (npr PE) se tudi gledajo?
Čisto odvisno od posameznega proizvajalca. Večina jih kaj prav veliko ne gre 'v podrobnosti'.
WatchGuard je tu malo posebneža, ker ima cca. 20 let izkušenj z DPI in ti (poleg ostalega) omogoča tudi strippanje headerjev, ki ti niso po volji in to ločeno za request in response. Headerji so sicer včasih nekoliko sitni, če si strikten, ker se nihče ne drži RFC-ja in vsak spletni programer misli, da se mora ovekovečiti s kakšnim lastnim headerjem.
Če te zanimajo podrobnosti, si lahko prebereš "About the http proxy", kjer je vse razloženo.
čuhalev ::
Kako pa je s prilagoditvami? Torej, ali lahko upravljalec doda svoja zaznavna pravila, ko vidi, da željene aplikacije ni na spisku? Sicer sumim, da proizvajalci predpostavljo, da upravljalci niso tega sposobni in teh zmožnosti ni.
SeMiNeSanja ::
Kako pa je s prilagoditvami? Torej, ali lahko upravljalec doda svoja zaznavna pravila, ko vidi, da željene aplikacije ni na spisku? Sicer sumim, da proizvajalci predpostavljo, da upravljalci niso tega sposobni in teh zmožnosti ni.
Večinoma dejansko ne moreš sam dodajat aplikacijskih signatur in si odvisen od tega, kar ti ponuja proizvajalec.
Tu je potem odvisno, kakšno filozofijo dejansko uporabljaš pri konfiguriranju oz. kakšno ti določen proizvajalec ponudi.
Nek začetnik, ki se ne želi ukvarjati z porti in protokoli, bo bistveno bolj odvisen od samih signatur za aplikacije, saj se bo 'obešal' zgolj na te.
Naprednejši (old-school?) uporabnik pa se drži klasičnega pristopa, da za določeno aplikacijo doda svoje lastno pravilo glede na source/destination/port/protokol in potem za povrhu na to pravilo obesi še aplikacijski filter, da se nebi mogla še kakšna druga reč 'tihotapiti' skozi ta port. Če v takem primeru potem ni ustrezne signature prav za to aplikacijo, tudi ni konec sveta - še vedno namreč lahko prepoveš vse ostale tipične osumljence, da nebi mogli uporabiti to 'luknjo'. Pač nisi ekspliciten, imaš pa še vedno kar solidno zaščito na tem pravilu/portu.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kripto virus kako reševati če sploh, umrem sicer ne če ne restavriram (strani: 1 2 3 4 5 6 )Oddelek: Pomoč in nasveti | 67555 (44411) | SeMiNeSanja |
» | LockyOddelek: Pomoč in nasveti | 10373 (8811) | SeMiNeSanja |
» | Locky dobil nov način širjenjaOddelek: Novice / Kriptovalute | 12510 (9227) | Jupito |
» | Izsiljevalski virus Petya padelOddelek: Novice / Kriptovalute | 10155 (7305) | Laskota |
» | Nov kriptovirus Locky na pohodu, napada tudi bolnišnice (strani: 1 2 )Oddelek: Novice / Kriptovalute | 34460 (30446) | misek |